Wवर्डप्रेस भेद्यता डेटाबेस

HK सुरक्षा NGO अलर्ट वेबकेक एक्सेस दोष (CVE202512165)

वर्डप्रेस वेबकेक प्लगइन में टूटी हुई एक्सेस नियंत्रण
0
शेयर
0
0
0
0
प्लगइन का नाम वेबकेक
कमजोरियों का प्रकार टूटी हुई पहुंच नियंत्रण
CVE संख्या CVE-2025-12165
तात्कालिकता कम
CVE प्रकाशन तिथि 2026-02-02
स्रोत URL CVE-2025-12165

तत्काल: वेबकेक में टूटी हुई एक्सेस नियंत्रण <= 1.1 (CVE-2025-12165) — वर्डप्रेस साइट मालिकों को अभी क्या करना चाहिए

तारीख: 2 फरवरी 2026   |   लेखक: हांगकांग सुरक्षा विशेषज्ञ

यह सलाह वर्डप्रेस साइट मालिकों, प्रशासकों और डेवलपर्स के लिए लिखी गई है। यह वेबकेक लैंडिंग पेज बिल्डर प्लगइन (संस्करण ≤ 1.1, CVE-2025-12165) में एक टूटी हुई एक्सेस नियंत्रण सुरक्षा कमजोरी, इसके द्वारा उत्पन्न जोखिम, हमलावरों द्वारा इसके दुरुपयोग के तरीके, पहचानने के चरण, और व्यावहारिक शमन और सुधार मार्गदर्शन को समझाता है।.

TL;DR (व्यस्त साइट मालिकों के लिए संक्षिप्त सारांश)

  • क्या: वेबकेक ≤ 1.1 में एक टूटी हुई एक्सेस नियंत्रण समस्या है जो प्रमाणित उपयोगकर्ताओं को सब्सक्राइबर स्तर की विशेषाधिकारों के साथ प्लगइन सेटिंग्स को अपडेट करने की अनुमति देती है जो प्रशासकों के लिए आरक्षित होनी चाहिए।.
  • प्रभाव: हमलावर जो सब्सक्राइबर एक्सेस प्राप्त करते हैं (या यदि पंजीकरण की अनुमति है तो पंजीकरण करते हैं) वे प्लगइन सेटिंग्स को बदल सकते हैं — संभावित रूप से रीडायरेक्ट सक्षम करना, फ्रंट-एंड सामग्री को संशोधित करना, या ऐसे पेलोड सेट करना जो फ़िशिंग, SEO स्पैम, या स्टोर की गई XSS की ओर ले जाते हैं।.
  • प्रभावित संस्करण: वेबकेक ≤ 1.1
  • में ठीक किया गया: वेबकेक 1.2
  • तात्कालिक कार्रवाई: वेबकेक को 1.2 या उच्चतर में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो नीचे दिए गए शमन लागू करें (वर्चुअल पैच, सेटिंग हैंडलर तक पहुंच को सीमित करें, क्षमता और नॉनस जांच को लागू करें)।.
  • CVE: CVE-2025-12165

यह क्यों महत्वपूर्ण है (हालांकि गंभीरता “कम” है)

पहली नज़र में “कम” गंभीरता जो सब्सक्राइबर विशेषाधिकारों की आवश्यकता होती है, अप्रासंगिक लग सकती है। हालांकि, व्यवहार में, इस प्रकार की समस्या गंभीर हो सकती है क्योंकि:

  • कई साइटें उपयोगकर्ता पंजीकरण की अनुमति देती हैं। यदि पंजीकरण खुले हैं, तो एक हमलावर एक सब्सक्राइबर खाता बना सकता है और बिना प्रशासक को समझौता किए सुरक्षा कमजोरी का लाभ उठा सकता है।.
  • समझौता किए गए सब्सक्राइबर खाते अक्सर अनदेखे रह जाते हैं और दुर्भावनापूर्ण परिवर्तनों को बनाए रखने के लिए उपयोग किए जा सकते हैं।.
  • लैंडिंग पेज प्लगइन सेटिंग्स शक्तिशाली हो सकती हैं: वे रीडायरेक्ट जोड़ सकते हैं, सभी आगंतुकों को दिखाई देने वाली सामग्री सेट कर सकते हैं, या HTML स्टोर कर सकते हैं जो स्टोर की गई XSS का परिणाम देती है — जिनका उपयोग फ़िशिंग, SEO हेरफेर, या मैलवेयर के वितरण के लिए किया जा सकता है।.
  • यहां तक कि एक ही समझौता की गई साइट का उपयोग फ़िशिंग पृष्ठों को होस्ट करने, ट्रैफ़िक चुराने, या दुर्भावनापूर्ण सामग्री को फैलाने के लिए किया जा सकता है।.

संक्षेप में: “कम” तकनीकी गंभीरता “अनदेखा” करने के समान नहीं है। इसे पैचिंग और शमन के लिए प्राथमिकता के रूप में मानें।.

तकनीकी अवलोकन: क्या गलत हुआ

टूटी हुई एक्सेस नियंत्रण का मतलब है कि एप्लिकेशन ने संवेदनशील ऑपरेशन की अनुमति देने से पहले सही प्राधिकरण जांच को लागू करने में विफलता दिखाई। इस वेबकेक समस्या के लिए सामान्य समस्याएँ हैं:

  • एक क्रिया हैंडलर (admin-post/admin-ajax या REST एंडपॉइंट) जो प्लगइन सेटिंग्स को सहेजता है, में उचित क्षमता जांच की कमी थी जैसे current_user_can(‘manage_options’)।.
  • हैंडलर ने “लॉग-इन” स्थिति या कमजोर क्षमताओं (उदाहरण के लिए, ‘पढ़ें’ जो सब्सक्राइबर के पास है) पर निर्भर किया, बजाय एक व्यवस्थापक क्षमता के।.
  • नॉनस सत्यापन या REST अनुमति कॉलबैक अनुपस्थित या अपर्याप्त थे।.

परिणाम: कोई भी प्रमाणित उपयोगकर्ता जिसके पास सब्सक्राइबर विशेषाधिकार (या उच्चतर) हैं, वैश्विक प्लगइन सेटिंग्स को अपडेट करने के लिए एक अनुरोध तैयार कर सकता है।.

नोट: विवरण को अवधारणात्मक रूप से वर्णित किया गया है ताकि एक शोषण नुस्खा प्रदान करने से बचा जा सके - यह जिम्मेदार प्रकटीकरण प्रथा है।.

संभावित हमलावर के लक्ष्य और प्रभाव

  • धोखाधड़ी या सहयोगी पृष्ठों पर साइट-व्यापी रीडायरेक्ट।.
  • फ़िशिंग के लिए उपयोग किए गए इंजेक्टेड लैंडिंग पृष्ठ।.
  • यदि HTML को उचित सफाई के बिना सहेजा गया है तो संग्रहीत XSS।.
  • SEO स्पैम या छिपा हुआ सामग्री जो खोज परिणामों को प्रभावित करने के लिए इंजेक्ट किया गया है।.
  • सेटिंग्स को संशोधित करके स्थिरता/बैकडोर प्राप्त किया गया ताकि दुर्भावनापूर्ण सामग्री नियमित सफाई से बच सके।.

यह जल्दी से कैसे जांचें कि क्या आपको चिंता करने की आवश्यकता है

  1. प्लगइन और संस्करण की पुष्टि करें: wp-admin → प्लगइन्स में, “Webcake” खोजें और जांचें कि क्या स्थापित संस्करण ≤ 1.1 है। यदि हाँ, तो आप प्रभावित हैं।.
  2. अप्रत्याशित सेटिंग्स के लिए जांचें: एक व्यवस्थापक के रूप में, Webcake सेटिंग्स पृष्ठ खोलें और अपरिचित रीडायरेक्ट लक्ष्यों, टेम्पलेट्स, स्क्रिप्ट्स, या तृतीय-पक्ष ट्रैकिंग आईडी के लिए देखें।.
  3. हाल की विकल्प परिवर्तनों का निरीक्षण करें: डेटाबेस (phpMyAdmin, WP-CLI) में, wp_options तालिका में webcake_ से प्रारंभ होने वाली कुंजियों के लिए खोजें। उदाहरण WP-CLI क्वेरी: 
    wp db query "SELECT option_name, option_value, autoload FROM wp_options WHERE option_name LIKE 'webcake_%' ORDER BY option_id DESC LIMIT 50;"

    उन प्रविष्टियों के लिए देखें जो हाल ही में उन खातों द्वारा अपडेट की गई हैं जिन्हें ऐसा नहीं करना चाहिए था।.

  4. उपयोगकर्ता पंजीकरण की जांच करें: wp-admin → उपयोगकर्ता में, नए सब्सक्राइबर खातों के लिए देखें जिन्हें आप नहीं पहचानते। यदि पंजीकरण सक्षम है, तो एक हमलावर पंजीकरण कर सकता है और इस भेद्यता का लाभ उठा सकता है।.
  5. एक्सेस लॉग की समीक्षा करें: वेब सर्वर लॉग में admin-post.php, admin-ajax.php, या REST एंडपॉइंट्स के लिए POST अनुरोधों की खोज करें जो सेटिंग्स में बदलाव के समय Webcake क्रियाओं का संदर्भ देते हैं।.

यदि आप संदिग्ध संकेतक पाते हैं: प्रशासनिक क्रेडेंशियल्स को बदलें, एक बैकअप लें, और नीचे दिए गए सुधारात्मक कदमों का पालन करें।.

तात्कालिक उपाय (जब तक आप अपडेट नहीं कर सकते)

यदि आप तुरंत Webcake 1.2 पर अपडेट नहीं कर सकते हैं, तो जोखिम को कम करने के लिए इनमें से एक या अधिक उपाय लागू करें।.

1. अभी अपडेट करें (प्राथमिकता)

प्रभावित साइटों पर जल्द से जल्द Webcake 1.2 या बाद का संस्करण स्थापित करें। यह मूल कारण को ठीक करता है।.

2. functions.php या एक mu-plugin के माध्यम से आभासी पैच (अल्पकालिक)

कोड जोड़ें जो सेटिंग्स अपडेट करने से पहले क्षमता और nonce जांच को लागू करता है। इसे त्वरित तैनाती के लिए एक अनिवार्य उपयोग प्लगइन (mu-plugin) या आपके थीम के functions.php में रखें। उदाहरण पैटर्न:

<?php;

नोट: यदि ज्ञात हो तो क्रिया नाम और nonce कुंजी को Webcake द्वारा उपयोग किए जाने वाले वास्तविक मानों से बदलें। पहले स्टेजिंग पर परीक्षण करें।.

3. प्लगइन के सेटिंग हैंडलर के लिए अनुरोधों को वेब सर्वर स्तर पर ब्लॉक करें

यदि एंडपॉइंट admin-post.php या admin-ajax.php है जिसमें एक पूर्वानुमानित क्रिया पैरामीटर है, तो आप उन POST अनुरोधों को ब्लॉक कर सकते हैं जो कमजोर क्रियाओं को लक्षित करते हैं। उदाहरण nginx-शैली का दृष्टिकोण (सैद्धांतिक):

location = /wp-admin/admin-post.php {

या पैरामीटर से मेल खाने वाले POST अनुरोधों को अस्वीकार करने के लिए Apache/.htaccess नियमों का उपयोग करें। यह एक मोटा उपकरण है - वैध प्रशासनिक प्रवाह को तोड़ने से बचने के लिए सावधानी से परीक्षण करें।.

4. पंजीकरण बंद करें और अज्ञात सब्सक्राइबर खातों को हटा दें

  • पैच होने तक उपयोगकर्ता पंजीकरण को अस्थायी रूप से निष्क्रिय करें (सेटिंग्स → सामान्य → सदस्यता)।.
  • संदिग्ध सब्सक्राइबर खातों की समीक्षा करें और उन्हें हटा दें (यदि आवश्यक हो तो पहले एक सूची निर्यात करें)।.

5. प्रशासनिक पहुंच को मजबूत करें

  • यदि संभव हो तो wp-admin और प्रमुख प्रशासनिक एंडपॉइंट्स को विश्वसनीय IPs तक सीमित करें।.
  • प्रशासनिक खातों के लिए मजबूत प्रशासनिक पासवर्ड और बहु-कारक प्रमाणीकरण लागू करें।.

6. गैर-व्यवस्थापक उपयोगकर्ताओं के लिए सत्र रद्द करें

संदिग्ध उपयोगकर्ताओं को मजबूर लॉगआउट करें या साइट-व्यापी सत्र समाप्त करें। आप उपयोगकर्ता पासवर्ड रीसेट कर सकते हैं या सत्र समाप्त करने के लिए सत्र-नियंत्रण प्लगइन्स का उपयोग कर सकते हैं।.

प्लगइन डेवलपर्स के लिए सुरक्षित कोडिंग पैटर्न (यह कैसे किया जाना चाहिए था)

प्लगइन लेखकों को इन नियमों को अपनाना चाहिए ताकि टूटे हुए पहुंच नियंत्रण से बचा जा सके:

  1. क्षमता जांच: संवेदनशील लेखन करने से पहले हमेशा स्पष्ट क्षमताओं की जांच करें। उदाहरण: 
    यदि ( ! वर्तमान_उपयोगकर्ता_कर सकते( 'प्रबंधित_विकल्प' ) ) { wp_die( 'अनधिकृत', 403 ); }
  2. नॉनस सत्यापन: नॉनसेस का उपयोग करें और उन्हें सर्वर-साइड पर सत्यापित करें: check_admin_referer(‘action_name’) या wp_verify_nonce()।.
  3. REST API अनुमति कॉलबैक: REST एंडपॉइंट्स के लिए permission_callback लागू करें ताकि क्षमताओं की जांच की जा सके: 
    register_rest_route( 'webcake/v1', '/settings', [;
  4. इनपुट सफाई: संग्रहित करने से पहले सभी इनपुट को साफ करें: wp_kses_post, sanitize_text_field, या अन्य उपयुक्त सफाई करने वाले।.
  5. न्यूनतम विशेषाधिकार का सिद्धांत: निम्न-विशेषाधिकार भूमिकाओं को कॉन्फ़िगरेशन लेखन अधिकार न दें। प्रदर्शन को कॉन्फ़िगरेशन से अलग करें।.
  6. परीक्षण: यूनिट और एकीकरण परीक्षण जोड़ें जो यह सुनिश्चित करते हैं कि सब्सक्राइबर प्रशासनिक क्रियाएँ नहीं कर सकते।.

पहचान और फोरेंसिक मार्गदर्शन

यदि आपको शोषण का संदेह है, तो इन चरणों का पालन करें:

  1. सबूत को संरक्षित करें: विश्लेषण के लिए तुरंत फ़ाइल- और DB-स्तरीय स्नैपशॉट लें।.
  2. लॉग निर्यात करें: संबंधित समय सीमा के लिए वेब सर्वर लॉग, PHP-FPM लॉग, और एप्लिकेशन लॉग एकत्र करें।.
  3. विकल्प परिवर्तनों को ट्रैक करें: हाल के Webcake-संबंधित अपडेट के लिए wp_options को क्वेरी करें: 
    SELECT option_name, option_value, option_id FROM wp_options WHERE option_name LIKE 'webcake_%' ORDER BY option_id DESC LIMIT 200;

    इंजेक्टेड स्क्रिप्ट, बाहरी URLs, या संदिग्ध सामग्री की तलाश करें।.

  4. उपयोगकर्ता गतिविधि की जांच करें: wp_users का निर्यात करें और user_registered टाइमस्टैम्प, भूमिकाएँ और प्रोफ़ाइल परिवर्तनों की समीक्षा करें।.
  5. मैलवेयर और बैकडोर के लिए स्कैन करें: अपलोड, थीम और प्लगइन निर्देशिकाओं की जांच करें कि क्या उनमें PHP फ़ाइलें, वेबशेल या ओबफस्केटेड कोड इंजेक्ट किया गया है।.
  6. रहस्यों को घुमाएं: यदि व्यवस्थापक पासवर्ड उजागर या छेड़छाड़ किए गए हैं, तो उन्हें रीसेट करें और API कुंजी और तृतीय-पक्ष क्रेडेंशियल्स को घुमाएँ।.
  7. साफ़ करें और पुनर्स्थापित करें: सुधार के बाद, यदि उपलब्ध हो तो ज्ञात-साफ बैकअप से पुनर्स्थापित करें और निकटता से निगरानी करें।.

यदि आवश्यक हो, तो सहायता के लिए अनुभवी विश्वसनीय घटना प्रतिक्रिया प्रदाता से संपर्क करें।.

REST और admin-post हैंडलर्स के लिए सुरक्षित “वर्चुअल पैच” का उदाहरण

इन त्वरित गार्ड को एक mu-plugin में रखें ताकि वे सक्रिय रहें, भले ही अन्य प्लगइन अक्षम हों। आवश्यकतानुसार फ़ंक्शन और क्रिया नामों का नाम बदलें।.

1) admin-post/admin-ajax हैंडलर्स के लिए गार्ड

<?php;

2) REST एंडपॉइंट्स के लिए गार्ड

<?php

ये केवल आपातकालीन उपाय हैं। विक्रेता द्वारा प्रदान किए गए फिक्स के लागू होने के बाद इन्हें हटा दें। हमेशा पहले स्टेजिंग पर परीक्षण करें।.

कोई एकल नियंत्रण पूर्ण नहीं है। प्लगइन को पैच करना मूल कारण को ठीक करता है। अतिरिक्त सुरक्षा उपाय सफल शोषण की संभावना को कम करते हैं जबकि आप पैच करते हैं और गहराई में रक्षा प्रदान करते हैं:

  • एक्सेस नियंत्रण और कोड-स्तरीय जांच विशेषाधिकार वृद्धि और अनधिकृत लेखन को रोकती हैं।.
  • वेब एप्लिकेशन फ़ायरवॉल (WAFs) अस्थायी वर्चुअल पैचिंग प्रदान कर सकते हैं और स्पष्ट शोषण प्रयासों को रोक सकते हैं।.
  • निगरानी और अलर्टिंग विकल्पों में संदिग्ध परिवर्तनों, अचानक पंजीकरण स्पाइक्स, या असामान्य POST अनुरोधों का पता लगाते हैं।.

व्यावहारिक हार्डनिंग चेकलिस्ट (चरण-दर-चरण)

  1. तुरंत Webcake को संस्करण 1.2 या बाद के संस्करण में अपडेट करें।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते:
    • क्षमता जांच लागू करने के लिए एक आभासी पैच (MU-plugin) लागू करें।.
    • कमजोर सेटिंग्स हैंडलर को वेब सर्वर स्तर पर ब्लॉक करें।.
    • अस्थायी रूप से उपयोगकर्ता पंजीकरण को निष्क्रिय करें।.
  3. उपयोगकर्ताओं का ऑडिट करें: संदिग्ध सब्सक्राइबर खातों को हटा दें या लॉक करें और प्रशासकों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें।.
  4. साइट को मैलवेयर और बैकडोर के लिए स्कैन करें; संदिग्ध फ़ाइलें हटा दें।.
  5. Webcake सेटिंग्स का निरीक्षण करें और साफ करें—पुनर्निर्देशित लक्ष्यों और टेम्पलेट्स को ज्ञात-भले मानों पर रीसेट करें।.
  6. यदि कुंजी और रहस्यों (API कुंजी, एकीकरण क्रेडेंशियल) में परिवर्तन हुआ हो तो उन्हें घुमाएं।.
  7. समग्र साइट को मजबूत करें: WP कोर/प्लगइन्स/थीम्स को अपडेट रखें, प्रशासक खातों की संख्या सीमित करें, जहां संभव हो दो-कारक प्रमाणीकरण की आवश्यकता करें, और निगरानी लागू करें।.
  8. यदि कोई घटना पाई जाती है: लॉग और बैकअप को संरक्षित करें और पेशेवर घटना प्रतिक्रिया पर विचार करें।.

साइट मालिकों के लिए: त्वरित चेकलिस्ट

  • Webcake संस्करण की पुष्टि करें। यदि ≤ 1.1 → तुरंत 1.2+ में अपडेट करें।.
  • यदि आप अब पैच नहीं कर सकते → आभासी पैच लागू करें या वेब सर्वर नियमों के माध्यम से सेटिंग्स एंडपॉइंट को ब्लॉक करें।.
  • पैच होने तक पंजीकरण बंद करें।.
  • स्कैन और साफ करें: मैलवेयर जांच चलाएं और Webcake सेटिंग्स की समीक्षा करें।.
  • यदि आप छेड़छाड़ के सबूत पाते हैं तो संवेदनशील क्रेडेंशियल्स को घुमाएं।.
  • सुधार के बाद साइट की निकटता से निगरानी करें।.

प्लगइन लेखकों के लिए: संक्षिप्त कोड-रिव्यू चेकलिस्ट

  • सभी प्रशासक-सेटिंग लिखने वाले हैंडलरों के लिए उपयुक्त क्षमताओं की पुष्टि करें।.
  • फ़ॉर्म सबमिशन के लिए नॉनसेस को मान्य करें।.
  • इनपुट को सहेजने से पहले साफ करें।.
  • REST एंडपॉइंट्स के लिए REST permission_callback का उपयोग करें।.
  • यह सुनिश्चित करने के लिए रिग्रेशन परीक्षण शामिल करें कि सब्सक्राइबर सेटिंग्स को अपडेट नहीं कर सकते।.
  • विशेषाधिकार प्राप्त क्रियाओं के लिए current_user_can(‘read’) या is_user_logged_in() पर निर्भर न रहें।.

यदि आप कई साइटें चलाते हैं (होस्टिंग/एजेंसी ऑपरेटर)

  • सभी साइटों को Webcake संस्करण ≤ 1.1 के लिए बल्क स्कैन करें और तुरंत अपग्रेड शेड्यूल करें।.
  • जहां तत्काल अपग्रेड संभव नहीं हैं, वहां कमजोर क्रिया नामों के लिए सेटिंग्स POSTs को ब्लॉक करने के लिए नेटवर्क-स्तरीय वर्चुअल पैच लागू करें।.
  • अपने बेड़े में विकल्प परिवर्तनों के लिए स्वचालित पहचान और अलर्टिंग करें (webcake_* परिवर्तनों के लिए wp_options की निगरानी करें)।.
  • प्रबंधित साइटों में अपडेट लागू करने के लिए एक समन्वित रखरखाव विंडो पर विचार करें।.

जिम्मेदार प्रकटीकरण & CVE

इस मुद्दे को CVE-2025-12165 के रूप में ट्रैक किया गया है और इसे Webcake 1.2 में प्लगइन डेवलपर द्वारा ठीक किया गया था। तकनीकी गंभीरता को “कम” के रूप में रेट किया गया हो, फिर भी इसे उच्च-प्राथमिकता रखरखाव के रूप में मानें।”

रिकवरी प्लेबुक (यदि आप शोषित हुए)

  1. साइट को ऑफ़लाइन ले जाएँ या रखरखाव मोड सक्षम करें।.
  2. फ़ाइलों और डेटाबेस का एक स्नैपशॉट बनाए रखें।.
  3. पूर्ण मैलवेयर और फ़ाइल अखंडता स्कैन चलाएं।.
  4. दुर्भावनापूर्ण सामग्री और बैकडोर हटा दें।.
  5. Webcake को 1.2+ में अपडेट करें और सभी अन्य प्लगइन्स/थीम्स और कोर को अपडेट करें।.
  6. व्यवस्थापक पासवर्ड और अन्य क्रेडेंशियल्स को बदलें।.
  7. कम से कम एक सप्ताह के लिए पुनः स्कैन करें और पुनरावृत्ति की निगरानी करें।.
  8. यदि उपलब्ध हो, तो समझौते से पहले लिए गए एक साफ बैकअप से पुनर्स्थापित करने पर विचार करें।.

हांगकांग के सुरक्षा विशेषज्ञ से अंतिम विचार

टूटी हुई एक्सेस नियंत्रण कमजोरियों को रोका जा सकता है। ये तब उत्पन्न होती हैं जब कोड “लॉग इन” को “अधिकार प्राप्त” के बराबर मानता है या स्पष्ट अनुमति जांच के बिना APIs को उजागर करता है। मान लें कि एक हमलावर कम-विशेषाधिकार वाले खाते बना सकता है या एक को समझौता कर सकता है, और प्रभाव को कम करने के लिए सिस्टम को डिज़ाइन करें: न्यूनतम विशेषाधिकार लागू करें, हर लेखन ऑपरेशन को मान्य करें, और सुरक्षा परतें बनाएं। यदि आप Webcake चलाने वाली साइटों का प्रबंधन करते हैं, तो तुरंत 1.2 में अपडेट करें। यदि आपको शमन लागू करने या संभावित समझौते का मूल्यांकन करने में मदद की आवश्यकता है, तो एक अनुभवी, विश्वसनीय वर्डप्रेस घटना प्रतिक्रियाकर्ता से संपर्क करें।.

संदर्भ

  • CVE: CVE-2025-12165 (Webcake ≤ 1.1 टूटी हुई एक्सेस नियंत्रण)
  • विक्रेता सुधार: वेबकेक 1.2

— हांगकांग सुरक्षा विशेषज्ञ

0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

हांगकांग उपयोगकर्ताओं को कैलेंडर दोषों से बचाना (CVE202512526)

अगला लेख —

हांगकांग सुरक्षा सलाहकार XSS फ़्लॉक्स में (CVE202512379)

आपको यह भी पसंद आ सकता है
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा अलर्ट वर्डप्रेस अनधिकृत एक्सपोजर (CVE20254390)

  • अगस्त 11, 2025
प्लगइन नाम WP प्राइवेट कंटेंट प्लस भेद्यता का प्रकार अनधिकृत जानकारी का प्रकटीकरण CVE संख्या CVE-2025-4390 तात्कालिकता कम CVE…
Wवर्डप्रेस भेद्यता डेटाबेस

सलाहकार क्रॉस साइट अनुरोध धोखाधड़ी पुनर्स्थापना प्लगइन(CVE20257839)

  • अगस्त 22, 2025
वर्डप्रेस पुनर्स्थापना स्थायी रूप से पोस्ट या पृष्ठ डेटा प्लगइन <= 1.0 - क्रॉस-साइट अनुरोध धोखाधड़ी भेद्यता
Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाह वर्डप्रेस एलेमेंटर XSS(CVE20258874)

  • अगस्त 11, 2025
वर्डप्रेस मास्टर ऐडऑन फॉर एलेमेंटर प्लगइन <= 2.0.8.6 - प्रमाणित (योगदानकर्ता+) संग्रहीत क्रॉस-साइट स्क्रिप्टिंग फैंसीबॉक्स भेद्यता के माध्यम से